Objevil se phishing zneužívající službu Microsoft Azure Static Web Apps
Zpět na blogAzure Static Web Apps je služba společnosti Microsoft, která pomáhá vytvářet a nasazovat full-stack webové aplikace do Azure z úložišť kódu GitHub nebo Azure DevOps. A právě tuto službu zneužívají útočníci k phishingu a krádeži přihlašovacích údajů uživatelů služeb Microsoftu – jmenovitě Office 365, Outlook a OneDrive.
Služba Azure Static Web Apps umožňuje vývojářům používat vlastní domény pro brandování webových aplikací a poskytuje webhosting pro statický obsah, jako jsou HTML, CSS, JavaScript a obrázky. Jak zjistil bezpečnostní výzkumník MalwareHunterTeam, aktéři hrozeb zjistili, že vlastní značku a funkce webhostingu lze snadno využít k hostování statických vstupních phishingových stránek a nyní aktivně využívají služby společnosti Microsoft proti jejím zákazníkům a zaměřují se na uživatele s účty Microsoft, Office 365, Outlook a OneDrive.
A jelikož taktiky útočníků se stále posouvají, tak některé z cílových stránek a přihlašovacích formulářů používaných v těchto phishingových kampaních vypadají velice věrně jako oficiální stránky společnosti Microsoft, čímž mohou oklamat i zkušené a opatrné uživatele.
Využití platformy Azure Static Web Apps k cílení na uživatele služeb Microsoftu je pro útočníky velice účinné. Každá cílová stránka automaticky získá vlastní zabezpečený zámeček stránky v adresním řádku díky certifikátu TLS se zástupným znakem *.1.azurestaticapps.net.
To pravděpodobně oklame i ty nejpodezřívavější uživatele – ti totiž uvidí důvěryhodný certifikát vydaný certifikační autoritou Microsoft Azure TLS Issuing CA 05 na *.1.azurestaticapps.net, čímž se podvodná stránka v očích potenciálních obětí jeví jako oficiální přihlašovací formulář společnosti Microsoft.
Kvůli falešnému pocitu zabezpečení, který dodávají legitimní certifikáty TLS společnosti Microsoft, jsou takové vstupní stránky ideálním nástrojem i při cílení na uživatele jiných platforem, včetně Rackspace, AOL, Yahoo a dalších poskytovatelů e-mailu.
Při snaze odhalit, kdy jde o phishingový útok, se standardně doporučuje pečlivě zkontrolovat adresu URL, když je uživatel vyzván k vyplnění přihlašovacích údajů k účtu v přihlašovacím formuláři. Bohužel při phishingových kampaních zneužívajících Azure Static Web Apps je tato rada celkem bezcenná, protože řadu uživatelů „uchlácholí“ subdoména azurestaticapps.net a platným certifikátem TLS.
Není to poprvé, co byla služba společnosti Microsoft zneužita k phishingovým útokům zaměřeným na vlastní zákazníky. Phishingové kampaně hojně zneužívají také certifikát *.blob.core.windows.net se zástupným znakem poskytovaný službou Azure Blob Storage společnosti Microsoft k cílení na uživatele služeb Office 365 a Outlook.
„Bezpečnost a ochranu soukromí bereme vážně a doporučujeme našim zákazníkům, aby používali osvědčené postupy při klikání na odkazy na webové stránky, ověřování pravosti webových stránek, s nimiž komunikují, otevírání neznámých souborů a přijímání přenosů souborů,“ uvedl mluvčí společnosti Microsoft pro server BleepingComputer v souvislosti s využitím Azure Static Web Apps pro phishing.
„Naše bezpečnostní týmy deaktivují hostitelské názvy, které porušují naše podmínky používání, jako jsou hostitelské názvy popsané v této zprávě. Neustále hledáme nové způsoby, jak zkrátit dobu detekce, abychom lépe zajistili bezpečnost zákazníků. Další informace o ochraně počítačů naleznete na adrese https://www.microsoft.com/en-us/digital-skills/online-safety-resources,“ uvedl Microsoft.
Zdroj: Bleepingcomputer.com
11. 4. 2022